数据安全治理路径主要是以数据为中心,围绕数据生命周期全过程,融合技术、管理和运营,打造涵盖“云、网、端”的时空一体化动态安全防护体系,确保数据流转全过程持续处于有效保护、合法利用的状态,保障数据安全释放价值。
数据安全治理难点可以总结为数据是否泄漏无感知、泄漏途径难确认、泄漏事件难溯源、数据资产不清晰、数据分级分类无法落地、数据访问控制难落地、数据安全人才缺失七个方面。
朱波介绍,核心技术能力主要包括智能数据分类分级、数据风险监测、数据泄密溯源、数据安全管控四方面。
智能数据分类分级:通过人工智能和机器学习技术,自动提取数据特征,进行数据分类分级标签推荐,从而大幅提升数据分类分级的效率。
数据风险检测:基于大数据计算以及用户行为分析技术,对用户数据访问流量进行建模,自动生成安全基线;基线内容如谁在访问数据,访问什么数据,通过何种途径,什么时间,访问了多少数据等;基于安全基线以及异常行为特征模型对数据访问行为进行研判,感知风险,上报告警,如:数据越权使用、API异常调用、运维人员批量读取敏感数据等。
数据泄密溯源:当前主流数据共享方式中,传统的嵌入追溯水印方式不再有效。通过可疑第三方检测模型对数据泄露内容进行数据检测,快速定位出可能的数据泄露源头,大大提升数据泄露溯源的速度。
数据安全管控:基于智能数据分类分级结果,对不同角色用户访问数据进行不同数据安全访问策略控制。
会上,朱波也将合肥供水集团的实践经验进行了分享。
在高度重视下,数据安全事件仍然频发。内因是获取数据有利可图,数据凭借自身价值,拥有“内泄外窃/越权使用”的天然驱动力。外因是数据安全保护不力,涉及数据权责不明确、数据状况不清晰、制度策略不完备、防护理念不匹配等层面的问题。各行业数据安全风险大、泄露事件频发。
在此背景下,合肥供水集团建立数据安全助力框架。
管理体系方面,定目标、规框架,建立企业级数据中心。合肥供水集团详细调研31个主要业务系统、16个业务部门,进行数据规划,形成9大标准规范,数据中心已采集数据18亿条,已治理数据8.9亿条。数据共享交换具有8.3亿条共享能力,共享至表务系统2500万条、管网运维系统58万条、超等额累进加价系统233万条、合肥市数据资源局1100万条等。
数据安全治理制度框架方面,合肥供水集团为决策者、管理层、执行层分别制定了相应匹配的制度,并建立了相应的32个一类到四类的数据安全办法、规范、细则和手册。
技术体系方面,基于零信任构筑的数据安全。采用SDP(软件定义边界)架构打造的新一代终端安全接入架构,由零信任安全网关、管理平台、客户端及终端安全监测四个部分构成,提供多种认证、终端环境检查、跨网隔离、非法外联检测、NAT溯源等能力的端到端安全防护,构建安全、易用、易管、稳定的可控可管的 “一机两网” 安全环境。
技术体系:合肥供水集团数据安全体系
技术体系:数据全生命周期安全体系建设
朱波最后表示,数据安全治理是数据治理的一个子集,安全治理既可在数据治理框架下进行,也可独立实施。欲速则不达,数据的安全问题得不到妥善解决,那么宁愿数字化转型慢一点,或者不转型,也不能在错误的方向上渐行渐远。理想的方案是获取全量数据安全指标;经济的方案是能够满足当前业务的风险控制需求。把未知的风险转变为已知的风险,再去寻找抵御风险和提升防御能力的方法。
数据安全治理只有起点没有终点,数据安全保护永远在路上。
编辑:李丹
版权声明:
凡注明来源为“中国水网/中国固废网/中国大气网“的所有内容,包括但不限于文字、图表、音频视频等,版权均属E20环境平台所有,如有转载,请注明来源和作者。E20环境平台保留责任追究的权利。
媒体合作请联系:李女士 010-88480317